KVM GL-iNet Comet (GL-RM1) недостаточно проверяет подлинность загруженных файлов прошивки. Злоумышленник посередине или скомпрометированный сервер обновлений могут изменить прошивку и соответствующий хэш MD5, чтобы пройти проверку.
Показать оригинальное описание (EN)
The GL-iNet Comet (GL-RM1) KVM does not sufficiently verify the authenticity of uploaded firmware files. An attacker-in-the-middle or a compromised update server could modify the firmware and the corresponding MD5 hash to pass verification.
Характеристики атаки
Способ атаки
Локальный
Нужен локальный доступ
Сложность
Низкая
Легко эксплуатировать
Условия для атаки
Требуются
Нужны дополнительные условия
Нужны права
Не требуются
Права не нужны
Участие пользователя
Активное
Нужно действие пользователя
Последствия
Конфиденциальность
Нет
Нет утечки данных
Целостность
Высокое
Полная модификация данных
Доступность
Нет
Нет нарушения работы
Строка CVSS v4.0
Тип уязвимости (CWE)
Уязвимые продукты
gl-inet:comet kvm
Ссылки 3
https://eclypsium.com/blog/your-kvm-is-the-weak-link-how-30-dollar-devices-can-…
9119a7d8-5eab-497f-8521-727c672e3725
https://raw.githubusercontent.com/cisagov/CSAF/develop/csaf_files/IT/white/2025…
9119a7d8-5eab-497f-8521-727c672e3725
https://www.cve.org/CVERecord?id=CVE-2026-32290
9119a7d8-5eab-497f-8521-727c672e3725